Gerenciamento do Firewalld

1

Como eu perguntei sobre os comentários deste tópico: bloqueia todos, exceto alguns ips com firewalld

Estou procurando uma maneira de negar todos os IPs públicos, exceto o meu, na zona pública do firewalld.

Por enquanto, minha zona pública tem apenas serviços ssh / http / https e eu especifiquei as fontes que o IP exigiu em toda a Internet.

O problema é que não entendo por que o firewalld não está filtrando os IPs de origem conforme solicitado?

Normalmente, pelo que entendi, especificando para a zona, os IPs de origem pedem ao Firewalld para descartar todos os pedidos, exceto aqueles que vêm dos IPs especificados.

Mas na minha caixa não está funcionando, já que consigo me conectar na máquina de casa, que não é um dos IPs de origem especificados.

Alguns sugerem que crie uma nova zona chamada "Interno / Outro". Só tenho uma interface pública porque o servidor não está em uma lan privada, então por que eu deveria criar / usar outra zona como a zona pública deveria? solte todos os IPs, exceto aqueles especificados na lista de fontes.

A zona pública do Firewalld torna os serviços adicionados nele abertos para o mundo automaticamente?

Se eu criar uma segunda zona chamada interna, com apenas o serviço ssh e os IPs de origem e, em seguida, vincular essa zona à minha eth0, o firewall bloqueará todos os IPs "não originados"?

É claro que fazer esse processo pressupõe que eu remova o serviço ssh dos serviços servidos pela zona pública.

Meu firewall é:

[root@groot ~]# firewall-cmd --list-all-zones
block
  interfaces:
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

dmz
  interfaces:
  sources:
  services: ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

drop (default)
  interfaces:
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

external
  interfaces:
  sources:
  services: ssh
  ports:
  masquerade: yes
  forward-ports:
  icmp-blocks:
  rich rules:

home
  interfaces:
  sources:
  services: dhcpv6-client ipp-client mdns samba-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

internal (active)
  interfaces: eth0
  sources: 192.168.0.0/24
  services: ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

public
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

trusted
  interfaces:
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

work
  interfaces:
  sources:
  services: dhcpv6-client ipp-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
    
por Dr I 06.07.2015 / 21:04

1 resposta

6

Parece o seu problema:

internal (active)
  interfaces: eth0
  sources: 192.168.0.0/24

Se você especificar ambas interfaces e endereços IP de origem para uma zona, então essa zona corresponde ao tráfego de da interface ou os endereços IP de origem.

Se você quiser que a zona corresponda apenas aos endereços IP de origem, remova a interface dela.

    
por 21.07.2015 / 16:45